CVSS: 7.5EPSS: 4%CPEs: 2EXPL: 3CVE-2018-16060 – Mitsubishi Electric & INEA SmartRTU - Source Code Disclosure
https://notcve.org/view.php?id=CVE-2018-16060
Mitsubishi Electric SmartRTU devices allow remote attackers to obtain sensitive information (directory listing and source code) via a direct request to the /web URI. Los dispositivos Mitsubishi Electric SmartRTU permiten a atacantes remotos conseguir información confidencial (listado de directorios y código fuente) por medio de una petición directa al URI /web Mitsubishi Electric Europe B.V. SmartRTU devices allow remote attackers to obtain sensitive information (directory listing and source code) via a direct request to the /web URI. Mitsubishi Electric and INEA SmartRTU suffer from a source code disclosure vulnerability. • https://www.exploit-db.com/exploits/50422 http://packetstormsecurity.com/files/164538/Mitsubishi-Electric-INEA-SmartRTU-Source-Code-Disclosure.html https://drive.google.com/open?id=1QMHwTnBbIqrTkR0NEpnTKssYdi8vRsHH • CWE-425: Direct Request ('Forced Browsing') •
CVSS: 9.1EPSS: 0%CPEs: 16EXPL: 0CVE-2021-20599
https://notcve.org/view.php?id=CVE-2021-20599
Cleartext Transmission of Sensitive InformationCleartext transmission of sensitive information vulnerability in MELSEC iQ-R series Safety CPU R08/16/32/120SFCPU firmware versions "26" and prior and MELSEC iQ-R series SIL2 Process CPU R08/16/32/120PSFCPU firmware versions "11" and prior allows a remote unauthenticated attacker to login to a target CPU module by obtaining credentials other than password. La vulnerabilidad de transmisión de texto claro de información sensible en las versiones de firmware "26" y anteriores de la CPU de seguridad R08/16/32/120SFCPU de la serie iQ-R de MELSEC y en la CPU de proceso SIL2 R08/16/32/120PSFCPU de la serie iQ-R de MELSEC, en todas sus versiones, permite que un atacante remoto no autenticado inicie sesión en un módulo de CPU objetivo obteniendo credenciales distintas de la contraseña • https://jvn.jp/vu/JVNVU98578731 https://www.cisa.gov/uscert/ics/advisories/icsa-21-287-03 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-011_en.pdf • CWE-319: Cleartext Transmission of Sensitive Information CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 7.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-20600
https://notcve.org/view.php?id=CVE-2021-20600
Uncontrolled resource consumption in Mitsubishi Electric MELSEC iQ-R series C Controller Module R12CCPU-V Firmware Versions "16" and prior allows a remote unauthenticated attacker to cause a denial-of-service (DoS) condition by sending a large number of packets in a short time while the module starting up. System reset is required for recovery. El consumo incontrolado de recursos en el módulo controlador C de la serie MELSEC iQ-R de Mitsubishi Electric R12CCPU-V, versiones de firmware "16" y anteriores, permite que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS) mediante el envío de un gran número de paquetes en poco tiempo durante el arranque del módulo. Se requiere un reinicio del sistema para la recuperación • https://jvn.jp/vu/JVNVU94914666/index.html https://us-cert.cisa.gov/ics/advisories/icsa-21-280-04 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-015_en.pdf • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 16EXPL: 0CVE-2021-20598
https://notcve.org/view.php?id=CVE-2021-20598
Overly Restrictive Account Lockout Mechanism vulnerability in Mitsubishi Electric MELSEC iQ-R series CPU modules (R08/16/32/120SFCPU all versions, R08/16/32/120PSFCPU all versions) allows a remote unauthenticated attacker to lockout a legitimate user by continuously trying login with incorrect password. Una vulnerabilidad del Mecanismo de Bloqueo de Cuentas Demasiado Restrictivo en los módulos de CPU de la serie MELSEC iQ-R de Mitsubishi Electric (R08/16/32/120SFCPU todas las versiones, R08/16/32/120PSFCPU todas las versiones) permite a un atacante remoto no autenticado bloquear a un usuario legítimo al intentar iniciar sesión continuamente con una contraseña incorrecta • https://jvn.jp/vu/JVNVU98578731/index.html https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-010_en.pdf • CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 16EXPL: 0CVE-2021-20594
https://notcve.org/view.php?id=CVE-2021-20594
Exposure of Sensitive Information to an Unauthorized Actor vulnerability in Mitsubishi Electric MELSEC iQ-R series Safety CPU modules R08/16/32/120SFCPU firmware versions "26" and prior and Mitsubishi Electric MELSEC iQ-R series SIL2 Process CPU modules R08/16/32/120PSFCPU firmware versions "11" and prior allows a remote unauthenticated attacker to acquire legitimate user names registered in the module via brute-force attack on user names. La exposición de información sensible a un actor no autorizado es una vulnerabilidad en los módulos de CPU de seguridad de la serie MELSEC iQ-R de Mitsubishi Electric R08/16/32/120SFCPU, versiones de firmware "26" y anteriores, y en los módulos de CPU de proceso SIL2 de la serie MELSEC iQ-R de Mitsubishi Electric R08/16/32/120PSFCPU, todas las versiones, que permite a un atacante remoto no autenticado adquirir nombres de usuario legítimos registrados en el módulo mediante un ataque de fuerza bruta a los nombres de usuario • https://jvn.jp/vu/JVNVU98578731/index.html https://www.cisa.gov/uscert/ics/advisories/icsa-21-250-01 https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2021-008_en.pdf • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •